ISA-Server mit 2 NICs/1 Router

Dieses Thema ISA-Server mit 2 NICs/1 Router im Forum "Netzwerk" wurde erstellt von RouvenE, 20. Sep. 2007.

Thema: ISA-Server mit 2 NICs/1 Router Hallo, Ich habe mal eine (merkwuerdige) Frage: Momentan ist mein Server (W2003 Server R2), auf dem DHCP laeuft...

  1. Hallo,

    Ich habe mal eine (merkwuerdige) Frage:
    Momentan ist mein Server (W2003 Server R2), auf dem DHCP laeuft inkl. DNS-Server, direkt mit dem Internet-Router (Fritzbox) verbunden. Die Clients (Vista Business und XP Pro) sind via WLAN ebenfalls mit denselben Router verbunden.
    Die NAT-Firewall des Routers ist natuerlich aktiviert, die Firewall des Servers jedoch macht staendig Aerger.
    Deshalb moechte ich den Aufbau aendern, zwecks Absicherung.

    Ich denke, dass der ISA-Server die beste Variante ist, um das Netzwerk zu sichern.
    Nun frage ich mich, ob es ueberhaupt moeglich ist, den ISA-Server auf W2003 laufen zu lassen (als Firewall), wenn der Server zwar 2 Netzwerkkarten hat, aber lediglich 1 Router vorhanden ist.

    Normalerweise waere der Aufbau doch:
    DSL-Anschluss->Modemrouter->externe Server-NIC
    [ISA-Server]
    Die Clients wuerden dann per (zweiten) WLAN-Router auf die interne Server-NIC zugreifen

    Ist die Trennung zwischen internem und externen Netz mit einem Router moeglich ?

    Danke.
     
  2. Falsch gedacht - jeder sicherheitsbewusste Admin wird dir sagen, das ein Windows-System zum Absichern eines Netzwerks nicht geeignet ist. Stell ne Linux-Firewall hin (z.B. IPCop) oder ne SecurityAppliance, aber um Gottes Willen keinen ISA-Server - den nimmt man nur, wenn man keine andere Möglichkeit hat (zumal für den Betrieb des ISA-Servers die Clients angepasst werden und man hinterher ohne Neuinstallation der Clients nicht mehr vom ISA-Server loskommt).
     
  3. Ich moechte mir nicht noch einen Server hinstellen muessen. Leider habe ich auch noch von Linux zu wenig Ahnung.
    Eine SecurityAppliance ist ein Hardwaregeraet ? Was kostet soetwas ?
    Und das Geraet dient als Hardwarefirewall ?

    Rein theoretisch: Waere ein ISA-Server mit einem Router und 2 NICs realisierbar ?
     
  4. Das würde ich so nicht behaupten. Der ISA Server ist ein Produkt, womit man (bei korrekter Konfiguration) sein Netz sehr gut absichern kann!
    Da heute in fast allen Fällen immer noch ein Router vor dem ISA Server steht (mit Router meine ich keine FritzBox sondern Geräte von Cisco & Co.), hat man hier schon ein hohes Sicherheitslevel erreicht, da die Router von Hause aus zusätzliche Sicherheitsfeatures mitbringen.

    Sorry, doch diese Aussage ist fachlich falsch. Der Einsatz des ISA Clients ist nicht unbedinngt nötig, was widerum die LAN-seitige Sicherheit nicht veringert.
     
  5. Ok, ich moechte nun auch beim Windows System bleiben.

    Nun frage ich mich, wie ich das Sicherheitsproblem loesen kann, ohne dabei allzuviel neue Geraete betreiben zu muessen, da es im Privatumfeld laeuft.

    Ein ISA-Server ist demnach nur mit 2 NICs im Server einsetzbar ?

    Waere es nicht auch sinnvoll, sich zB einen Netgear-WLAN-Firewallrouter zu kaufen, der direkt zwischen DSL-Anschluss und Server angeschlossen wird. An dessen geswitchte Ports wiederum werden die Clients angeschlossen und erfolgt der WLAN-Zugriff der WLAN-Clients.

    Oder, waere folgendes sicherer:
    DSL-Anschluss->Firewall-Router->externe Server-NIC (externe Ebene)
    [dazwischen ISA-Server]
    interne Server-NIC->WLAN-Router->Clients (interne Ebene)

    Eine Art Firewall-Geraet, welches zwischen DSL-Anschluss und WLAN-Router kaeme, gibt es nicht, oder ? Das waere naemlich ein Traum.
     
  6. Da du vom privaten Bereich redest würde ich die Variante

    DSL Anschluss -> Router mit Firewall -> externe Karte ISA Server

    nehmen. Ich halte diese Konfiguration, gerade für privat, vollkommend ausreichend (wenn nicht sogar schon übertrieben).
     
  7. Ja, sicher.... NUR:

    Wenn DSL->Firewall-Router->externe Server-NIC... wo kommen nun die Clients ins Netzwerk ?
    Demnach muesste der Server wiederum eine interne NIC haben, an dem ein weiterer WLAN-Router angeschlossen ist, ueber den dann wieder die Clients auf den Server und somit auf das Internet zugreifen koennen.

    Somit muesste ich 2 Router haben.

    Oder koennte ich den Server mit nur einer NIC betreiben, an der ein Firewall-Router haengt, ueber den alle Clients auf das Internet zugreifen ?

    Dieses habe ich momentan ja so... nur eben frage ich mich, ob die Fritzbox hier genuegend Schutz bietet.
    Oder bietet zB der Netgear Firewallrouter mehr Schutz als das AVM-Derivat ?
     
  8. *rotfl*
    Wie widerspreche ich mir in zwei Sätzen selbst?
    Wenn ich nen Router vor mein Netz hänge -und wenns der billigste 0815-Router ist- ist mein Netz damit vor externen Angriffen geschützt, dann brauch ich keinen ISA-Server mehr.

    Ach nein?
    Dann versuch mal ne Internetverbindung durch den Proxy des ISA-Servers aufzubauen, ohne den Client installiert zu haben bzw. versuche mal, die Berechtigungen für den Internetzugriff ohne Installation des Clients innerhalb eines Netzes durchzusetzen. In beiden Fällen leider unmöglich, davon abgesehen beeinträchtigt der ISA-Client in keinster Weise die Sicherheit des Netzes, er ist aber einfach nur lästig, da er sich nicht vollständig deinstallieren lässt.

    Und was Cisco & Co. betrifft: Vergiss es, die kochen auch nur mit Wasser, die einen mehr, die anderen weniger. Sinn einer Security-Appliance ist z.B. das Einrichten einer DMZ direkt auf dem Router, die Zuweisung von Ports zu bestimmten Netzwerkbereichen etc. Auch die Unterscheidung SUA/FullNat gehört dazu, die interne Sicherheit des Netzes hat damit null zu tun. Weitere Pluspunkte bei guten Appliances ist die Möglichkeit, IPSEC/VPN zu terminieren, was billige Router nicht können.
     
  9. Diese Aussage ist von fachlicher Seite her falsch. Richtig ist, dass ein Router viel für die Sicherheit einer Infrastruktur tun kann und einige Angriffe abfängt, doch ein Router alleine schützt noch lange keine Infrastruktur aussreichend.

    Ich kann auch die richtigen Einstellungen bezüglich der Internetverbindung via GPO's steuern.
    Berechtigungen über den Internetzugriff können bei vorhandenem AD über Gruppenzugehörigkeit geregelt werden.

    @Rouven

    Ich denke, dass dieses Szenario für deine Infrastruktur vollkommen okay sein sollte:

     
  10. Interessante These - ich weiss ja nicht, welche Router du einsetzt, aber sobald ich einen Router vor mein Netz stelle, prallen alle Angriffe von aussen, für die ein Windows-System anfällig ist, am Router ab (zumindest solange kein Portforwarding aktiv ist). Setze ich nen ISA-Server ein, mache ich ausgerechnet ein Betriebssystem für die Sicherheit verantwortlich, das wöchentlich neue Lücken aufweist, für die meist Exploits im Netz unterwegs sind, bevor man sich in Redmond genötig sieht, Patches zur Verfügung zu stellen.

    Was das hier betrifft:
    Doppeltes Routing, prima Idee. Macht mit NAT bestimmt Spass. :-\
     
Die Seite wird geladen...

ISA-Server mit 2 NICs/1 Router - Ähnliche Themen

Forum Datum
Suche gute Virenschutzlösung für ISA-Server 2004 Windows XP Forum 22. Jan. 2005